Pfsense+Bridge y no morir en el intento

Bueno luego de una falla elctrica en la oficina, el Firewall Transparente que tenia

funcionado con freebsd se le dao uno de sus disco duros, ya desde hacia algn tiempo
venia leyendo sobre pfsense y leido experiencias de otras personas, asi que me anime a
probar encontrndome con la agradable sorpresa de que ocupa poco espacio en disco duro,
asi que lo instale en un Pentium II, 810 de Disco Duro y 128 de Memoria Ram, ademas de dos
tarjetas de red.

Lo primero es descargar de la pagina, la imagen a quemar de pfsense, esta viene comprimida

"pfSense-1.0.1-LiveCD-Installer.iso.gz" asi que luego de bajarla deberas usar la aplicacion de
tu gusto para descomprimirla (winrar u otros), una vez tenido el cd en la mano, puedes iniciar el
pc que tienes dispuesto para instalar pfsense, como veras esta es una version LiveCD que
puede ser usada desde una unidad CD-rom o DVD, al llegar a esta pantalla

(click para Agrandar la imagen)

aqui indicamos que no deseamos una vlan y luego identificas cuales va a ser la interface lan y
wan

ya seleccionado quien va a
ser la interfase lan y wan, presionamos enter para continuar, en este paso nos indicara si
deseamos proceder con la seleccion, le indicamos que si,
 luego de un proceso que
tarda unos minutos (pocos) llegaras a esta men donde escogers la opcin 99

esto iniciara la instalacin,

se iniciara un asistente, lo primero es el vdeo, mi recomendacin es aceptar por defecto esta

parte :-P
 en la siguiente pantalla
iniciaras la instalacin de pfsense, ahora se iniciara un proceso para dar formato al disco duro,
particionado, y copia de archivos.

presionamos enter sobre el

disco duro y le damos un primer formato al disco (ojo esto borrara todo el contenido del disco)
Por lo general la geometra del disco duro es la correcta, as que selecciona "usar esta

geometra" damos inicio a

formato del disco.

luego nos solicitara

particionar el disco, esto es para instalar el sistema operativo FreeBSD

Aunque por defecto esta

marcado FreeBSD se puede seleccionar otros sistemas de archivos aunque no creo que sea
necesario ya que estamos usando FreeBSD :-D
 Ahora se va a instalar el
sector de inicio en el disco duro, debemos presionar enter en aceptar e instalar Bootblock

Nos preguntara en que

particin vamos a instalar

Como mi caso use un disco

pequeo (811 MB) utilice la opcin por defecto, es decir dos particiones una para el archivo de
intercambio y otra para la raz "/", el asterisco en Capacity solo indica que tomara todo el
espacio disponible en el disco
Bueno luego de otras pantallas, si ves la siguiente es por que ya se estn copiando los archivos
al disco, esto tarda unos 7 minutos (pentium II con 128 de ram)

luego de esto te pedir

reiniciar la maquina.

Por defecto la interfaces lan

utiliza la direccin ip 192.168.1.1 ya que pfsense esta por defecto para dar servicio de NAT, as
que debes cambiar la ip de ti maquina a 192.168.1.x para asi poder acceder y configurar va
interface lan.
 La primera pantalla que
veras va web, es la solicitud de usuario y contrasea, esta por defecto para el user es admin y
el password espfsense, en la prxima pantalla ya estars dentro den entorno web de pfsense,
lo primero que vamos a hacer es irnos a interfaces > wan, all veremos esta pantalla donde
seleccionaremos static aadimos la ip y puerta de enlace(de nuestra red), moviendo la pagina
hacia abajo tambin desmarcaremos Block private networks. Una vez aceptados los cambios
deberemos conectarnos va web por la interfaz wan(antes ya debemos cambiar la ip de nuestra
estacin de trabajo a la red con la que realmente estamos trabajando en este ejemplo seria una
ip 192.168.10.xxx y no una ip 192.168.1.xxx
 Lo segundo que vamos a
hacer es irnos a interfaces > lan, encojemos en la opcin Bridge with la interfaz wan, y
colocamos la misma ip que aadimos a la interfaz wan, ademas de marcar la opcion FTP
Helper (Disable the userland FTP-Proxy application),
 Aceptando los cambios
ahora nos vamos a system > Advanced

En Advanced buscaremos
filtering bridge y la activaremos, tambin puedes activar otras opciones como Secure shell pasa
accesar por ssh.
 Ahora nos vamos a system
> General Setup,

aqu podremos cambiar el

hostname, domain, aadimos los Dns de nuestro ISP, y desmarcamos allow DNS server list
to be overridden by dhcp/PPP on WAN. Guardamos los cambios.
 Ahora nos iremos
a Firewall > NAT, all debemos seleccionar enable advanced outbound NAT

All deberemos borrar todas

la reglas que aparecen en la lista, esto es importante porque si no se hace el Firewall
Transparente que queremos no funcionara. recuerda aplicar los cambios en todo momento de
la configuracin, si ya tienes un servidor dhcp en tu red lan, debes desactivar el que trae
pfsense, lo encontraras en Services > dhcp, as no entraran en conflictos las maquinas con ips
duplicadas. Existen otros servicios como DNS, en Diagnostics tienes una opcin para respaldar
toda la configuracin que acabas de realizar esto por si por algn motivo tienes que generar de
nuevo el pfsense te ahorres mucho trabajo.
 Buenos ahora nos vamos
a Firewall > rules, como se ve en la pestaa WAN no tienes ninguna regla, all solo
configuraras reglas para DMZ y algunas conexiones entrantes.

Haciendo clic sobre la

pestaa LAN veremos que la regla por defecto es permitir todo el trafico de la red lan, en este
caso la editaremos y la desactivamos, pero primero aadiremos el trafico que queremos dejar
pasar (por defecto todo el trafico estar bloqueado), servicios tales como HTTP, HTTPS, SMTP,
POP3, IMAP entre otros.
 Ya una vez aadido el
conjunto de reglas que deseamos dejar pasar hacia internet, procedemos a editar la regla por
defecto y la desactivamos, una vez aplicado los cambios esta se tornara atenuada con respecto
a las otras.

En la interfaz WAN podremos configurar que desde afuera acceden a un servidor web en este
caso, donde 190.0.0.0 es nuestro servidor web de ejemplo
 Como punto final
en System > Packages podremos aadir paquetes adicionales como ntop, entre otros.

Espero que sea til este

manual, aunque se ve un poco largo creo que suficiente como para configurar un Firewall
Transparente. Saludos